Erste Schritte mit Windows LAPS und Windows Server Active Directory
Erfahren Sie mehr zu den ersten Schritten mit Windows Local Administrator Password Solution (Windows LAPS) und Windows Server Active Directory. In diesem Artikel werden die grundlegenden Verfahren für die Verwendung von Windows LAPS zum Sichern von Kennwörtern in Windows Server Active Directory und zum Abrufen dieser Kennwörter beschrieben.
Domänenfunktionsebene und Versionsanforderungen für Domänencontroller
Wenn Ihre Domäne für eine Domänenfunktionsebene (Domain Functional Level, DFL) unter 2016 konfiguriert ist, können Sie den Windows LAPS-Kennwortverschlüsselungszeitraum nicht aktivieren. Ohne Kennwortverschlüsselung können Clients nur zum Speichern von Kennwörtern in Klartext (durch Active Directory-ACLs geschützt) konfiguriert werden, und Domänencontroller können nicht für die Verwaltung des lokalen DSRM-Kontos konfiguriert werden.
Sobald Ihre Domäne die Domänenfunktionsebene 2016 erreicht, können Sie die Windows LAPS-Kennwortverschlüsselung aktivieren. Falls Sie jedoch weiterhin Windows Server 2016-Domänencontroller ausführen, müssen Sie beachten, dass diese Domänencontroller Windows LAPS nicht unterstützen und daher das DSRM-Kontoverwaltungsfeature nicht verwenden können.
Sie können unterstützte Betriebssysteme vor Windows Server 2016 auf Ihren Domänencontrollern verwenden, müssen sich aber dieser Einschränkungen bewusst sein.
In der folgenden Tabelle sind die verschiedenen unterstützten oder nicht unterstützten Szenarien zusammengefasst:
| Domänendetails | Speicherung von Klartextkennwörtern unterstützt | Speicherung von verschlüsselten Kennwörtern unterstützt (für in die Domäne eingebundene Clients) | DSRM-Kontoverwaltung unterstützt (für Domänencontroller) |
|---|---|---|---|
| Vor Domänenfunktionsebene 2016 | Ja | Nr. | Nein |
| Domänenfunktionsebene 2016 mit mindestens einem Windows Server 2016-Domänencontroller | Ja | Ja | Ja, aber nur für Domänencontroller mit Windows Server 2019 und höher |
| Domänenfunktionsebene 2016 nur mit Windows Server 2019-Domänencontrollern und höher | Ja | Ja | Ja |
Microsoft empfiehlt Kund*innen dringend, Clients, Server und Domänencontroller auf das neueste verfügbare Betriebssystem zu aktualisieren, damit sie die aktuellen Features und Sicherheitsverbesserungen nutzen können.
Aktualisieren des Windows Server Active Directory-Schemas
Das Windows Server Active Directory-Schema muss vor der Verwendung von Windows LAPS aktualisiert werden. Dies erfolgt mithilfe des Cmdlets Update-LapsADSchema. Es handelt sich um einen einmaligen Vorgang für die gesamte Gesamtstruktur. Das Cmdlet Update-LapsADSchema kann lokal auf einem mit Windows LAPS aktualisierten Windows Server 2022- oder Windows Server 2019-Domänencontroller, aber auch auf Computern, die keine Domänencontroller sind, ausgeführt werden, sofern diese das PowerShell-Modul von Windows LAPS unterstützen.
PS C:\> Update-LapsADSchema
Tipp
Übergeben Sie den Parameter -Verbose, um detaillierte Informationen über die Aktivitäten des Cmdlets Update-LapsADSchema (oder jedes anderen Cmdlets im PowerShell-Modul LAPS) anzuzeigen.
Erteilen der Berechtigung für das verwaltete Gerät zum Aktualisieren des Kennworts
Dem verwalteten Gerät muss die Berechtigung zum Aktualisieren seines Kennworts erteilt werden. Diese Aktion erfolgt, indem vererbbare Berechtigungen für die Organisationseinheit des Geräts festgelegt werden. Set-LapsADComputerSelfPermission wird für diesen Zweck verwendet, z. B.:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tipp
Wenn Sie die vererbbaren Berechtigungen für den Stamm der Domäne festlegen möchten, können Sie dazu den gesamten Domänenstamm mithilfe der DN-Syntax angeben. Geben Sie beispielsweise „DC=laps,DC=com“ für den Parameter „-Identity“ an.
Berechtigungen zur Abfrage von Extended Rights (erweiterte Rechte)
Einigen Benutzern oder Gruppen wurde möglicherweise bereits die Berechtigung „Erweiterte Rechte“ für die Organisationseinheit des verwalteten Geräts erteilt. Diese Berechtigung ist problematisch, da sie das Lesen vertraulicher Attribute ermöglicht (alle Windows LAPS-Kennwortattribute sind als vertraulich gekennzeichnet). Eine Möglichkeit zum Prüfen, wem diese Berechtigungen erteilt wurden, ist das Cmdlet Find-LapsADExtendedRights. Beispiel:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
In der Ausgabe in diesem Beispiel verfügen nur vertrauenswürdige Entitäten (SYSTEM und Domänenadministratoren) über die Berechtigung. Es ist keine andere Aktion erforderlich.
Konfigurieren der Geräterichtlinie
Führen Sie einige Schritte aus, um die Geräterichtlinie zu konfigurieren.
Wählen eines Mechanismus zur Richtlinienbereitstellung
Der erste Schritt ist die Wahl, wie die Richtlinie auf Ihre Geräte angewendet werden soll.
Die meisten Umgebungen verwenden Windows LAPS-Gruppenrichtlinie, um die erforderlichen Einstellungen auf ihren in eine Windows Server Active Directory-Domäne eingebundenen Geräten bereitzustellen.
Wenn Ihre Geräte auch hybrid in Microsoft Entra ID eingebunden sind, können Sie die Richtlinie mithilfe von Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (Configuration Service Provider, CSP) bereitstellen.
Konfigurieren bestimmter Richtlinien
Sie müssen mindestens die Einstellung BackupDirectory mit dem Wert 2 (Kennwörter in Windows Server Active Directory sichern) konfigurieren.
Wenn Sie die Einstellung AdministratorAccountName nicht konfigurieren, verwaltet Windows LAPS standardmäßig das integrierte lokale Administratorkonto. Dieses integrierte Konto wird automatisch anhand seiner bekannten relativen ID (RID) identifiziert und sollte niemals mithilfe seines Namens identifiziert werden. Der Name des integrierten lokalen Administratorkontos hängt vom Standardgebietsschema des Geräts ab.
Wenn Sie ein benutzerdefiniertes lokales Administratorkonto konfigurieren möchten, sollten Sie die Einstellung AdministratorAccountName mit dem Namen dieses Kontos konfigurieren.
Wichtig
Wenn Sie Windows LAPS zum Verwalten eines benutzerdefinierten lokalen Administratorkontos konfigurieren, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht. Es wird empfohlen, zum Erstellen des Kontos den CSP RestrictedGroups zu verwenden.
Sie können andere Einstellungen, z. B. PasswordLength, nach Bedarf für Ihre Organisation konfigurieren.
Wenn Sie keine bestimmte Einstellung konfigurieren, wird der Standardwert angewendet. Sie sollten diese Standardwerte verstehen. Wenn Sie beispielsweise die Kennwortverschlüsselung aktivieren, die Einstellung ADPasswordEncryptionPrincipal aber nicht konfigurieren, wird das Kennwort verschlüsselt, sodass es nur von Domänen-Administratoren entschlüsselt werden kann. Sie können ADPasswordEncryptionPrincipal mit einer anderen Einstellung konfigurieren, wenn Sie möchten, dass es auch von anderen als den Domänen-Administratoren entschlüsselt werden kann.
Aktualisieren eines Kennworts in Windows Server Active Directory
Windows LAPS verarbeitet die derzeit aktive Richtlinie regelmäßig (stündlich) und reagiert auf Änderungsbenachrichtigungen von Gruppenrichtlinie. Die Reaktion erfolgt basierend auf den Richtlinien- und Änderungsbenachrichtigungen.
Um zu überprüfen, ob das Kennwort in Windows Server Active Directory erfolgreich aktualisiert wurde, suchen Sie im Ereignisprotokoll nach dem Ereignis 10018:
Um Wartezeit nach Anwenden der Richtlinie zu vermeiden, können Sie das PowerShell-Cmdlet Invoke-LapsPolicyProcessing ausführen.
Abrufen eines Kennworts aus Windows Server Active Directory
Mit dem Cmdlet Get-LapsADPassword können Sie Kennwörter aus Windows Server Active Directory abrufen. Beispiel:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Dieses Ausgabeergebnis gibt an, dass die Kennwortverschlüsselung aktiviert ist (siehe Source). Die Kennwortverschlüsselung erfordert, dass Ihre Domäne mindestens für die Domänenfunktionsebene „Windows Server 2016“ konfiguriert ist.
Rotieren des Kennworts
Windows LAPS liest die Kennwortablaufzeit während jedes Richtlinienverarbeitungszyklus aus Windows Server Active Directory. Wenn das Kennwort abgelaufen ist, wird sofort ein neues Kennwort generiert und gespeichert.
In einigen Fällen (z. B. nach einer Sicherheitsverletzung oder für Ad-hoc-Tests) können Sie das Kennwort frühzeitig rotieren. Mit dem Cmdlet Reset-LapsPassword können Sie eine manuelle Kennwortrotation erzwingen.
Mit dem Cmdlet Set-LapsADPasswordExpirationTime können Sie die geplante Ablaufzeit des Kennworts so festlegen, wie sie in Windows Server Active Directory gespeichert ist. Beispiel:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Bei der nächsten Aktivierung von Windows LAPS zur Verarbeitung der aktuellen Richtlinie wird die geänderte Ablaufzeit des Kennworts angezeigt und das Kennwort rotiert. Wenn Sie nicht warten möchten, können Sie das Cmdlet Invoke-LapsPolicyProcessing ausführen.
Mit dem Cmdlet Reset-LapsPassword können Sie lokal eine sofortige Rotation des Kennworts erzwingen.
Abrufen von Kennwörtern in AD-Disaster-Recovery-Szenarien
Die Wiederherstellung von Windows LAPS-Kennwörtern (einschließlich DSRM-Kennwörtern) setzt normalerweise voraus, dass mindestens ein Active Directory-Domänencontroller verfügbar ist. Berücksichtigen Sie jedoch ein Katastrophenszenario, in dem alle Domänencontroller in einer Domäne ausgefallen sind. Wie können Sie in dieser Situation Kennwörter wiederherstellen?
Bewährte Verfahren der Active Directory-Verwaltung empfehlen, regelmäßig Sicherungen von allen Domänencontrollern zu speichern. Windows LAPS-Kennwörter, die in einer gemounteten Sicherung der AD-Datenbank gespeichert sind, können mit dem Get-LapsADPassword PowerShell-Cmdlet unter Angabe des -Port-Parameters abgefragt werden. Das Get-LapsADPassword-Cmdlet wurde kürzlich verbessert, sodass die Wiederherstellung von Kennwörtern ohne Kontaktaufnahme mit einem Domänencontroller gelingt, wenn die Parameter -Port und -RecoveryMode beide angegeben sind. Außerdem unterstützt Get-LapsADPassword jetzt das Ausführen in diesem Modus auf einem Arbeitsgruppen-Computer (ohne Domänenangehörigkeit).
Das folgende Beispiel geht davon aus, dass eine AD-Sicherungsdatenbank lokal auf Port 50000 gemountet ist:
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : ArrowheadArdentlyJustifyingKryptonVixen
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Wichtig
Wenn verschlüsselte Windows LAPS-Kennwörter aus einer AD-Sicherungsdatenbank abgerufen werden, die auf einem Arbeitsgruppen-Computer gemountet ist, wird das Feld AuthorizedDecryptor immer im Raw-SID-Format angezeigt, da der Arbeitsgruppen-Computer nicht in der Lage ist, diese SID in einen Anzeigenamen zu übersetzen.
Wichtig
Die verbesserten Funktionalitäten zum Abrufen von Kennwörtern mit Get-LapsADPassword werden ab Windows Insider Build 27686 sowohl für Client- als auch für Server-Betriebssysteme unterstützt.
Siehe auch
- Einführung von Windows Local Administrator Password Solution in Microsoft Entra ID
- Windows Local Administrator Password Solution in Microsoft Entra ID
- CSP RestrictedGroups
- Microsoft Intune
- Microsoft Intune-Unterstützung für Windows LAPS
- Windows LAPS CSP
- Windows LAPS Troubleshooting Guidance (Leitfaden zur Problembehandlung für Windows LAPS)